I lettori come te aiutano a sostenere MUO. Quando effettui un acquisto utilizzando i link sul nostro sito, potremmo guadagnare una commissione di affiliazione.
Una nuova campagna SEO dannosa ha compromesso con successo oltre 15.000 siti Web WordPress. L'obiettivo della campagna è reindirizzare gli utenti a falsi siti di domande e risposte per aumentare il traffico dei visitatori.
Oltre 15.000 siti WordPress compromessi
In una nuova campagna di reindirizzamento black hat, gli hacker sono riusciti a compromettere oltre 15.000 siti Web WordPress per aumentare il posizionamento nei motori di ricerca di vari siti Web fasulli.
Come riportato in a Post sul blog di Sucuri, c'è stato un notevole aumento dei siti di reindirizzamento malware di WordPress da settembre 2022. Questi siti di reindirizzamento indirizzano gli utenti a portali di domande e risposte falsi e di bassa qualità. Solo nei mesi di settembre e ottobre, gli hacker sono stati in grado di prendere di mira con successo oltre 2.500 siti.
Sucuri, un ricercatore di sicurezza, ha rilevato finora 14 siti Web fasulli, con i loro server oscurati da un proxy. Le domande visualizzate sui siti vengono estratte da altre piattaforme di domande e risposte legittime. Con un posizionamento SEO più elevato, questi siti possono raggiungere più persone.
I falsi siti di domande e risposte possono diffondere malware
I siti falsi utilizzati in questa campagna di reindirizzamento sono in grado di diffondere malware ai visitatori. A differenza di molti siti dannosi, questi particolari forum fasulli di domande e risposte sono in grado di modificare oltre 100 file infetti per sito. Questo non viene fatto spesso, poiché rende più probabile il loro rilevamento e la loro terminazione.
Nel suddetto post sul blog, Sucuri ha affermato che la maggior parte dei file infetti sono il core di WordPress file, ma ha anche elencato una serie di file che sono più comunemente infetti, i quali hanno tutti .php estensioni. Di seguito è riportato l'elenco dei file .php infetti:
- ./wp-signup.php
- ./wp-cron.php
- ./wp-links-opml.php
- ./wp-settings.php
- ./wp-commenti-post.php
- ./wp-mail.php
- ./xmlrpc.php
- ./wp-activate.php
- ./wp-trackback.php
- ./wp-blog-header.php
Sucuri ha anche sottolineato che il malware è stato trovato presente in alcuni nomi di file pseudo-legittimi rilasciati dagli stessi hacker, tra cui:
- RVbCGlEjx6H.php
- lfojmd.php
- wp-newslet.php
- wp-ver.php
- wp-logln.php
Metodo di violazione degli hacker Può essere un plug-in vulnerabile o forza bruta
Sucuri non ha ancora scoperto come questi hacker black hat stiano violando questi siti WordPress, ma si ritiene che i colpevoli più probabili siano un plug-in vulnerabile o un attacco di forza bruta. Gli hacker potrebbero utilizzare un kit di exploit per cercare vulnerabilità di sicurezza all'interno dei plug-in per evidenziare un obiettivo. In alternativa, la password di accesso dell'amministratore del sito WordPress potrebbe essere violata utilizzando un algoritmo in a attacco di forza bruta.
I siti WordPress sono bersagli di exploit comuni
Questa non è affatto la prima volta che i siti WordPress sono stati presi di mira da malintenzionati. Milioni di siti WordPress sono stati compromessi dai criminali informatici in passato e non c'è dubbio che molti altri continueranno a essere vittime di tali attacchi.
